Без связи: что показала атака на "Киевстар"

В «положенном» хакерами «Киевстаре» вчера заявили, что с 18 часов среды, 13 декабря начали включение голосовой связи по всей Украине. «Мы невероятно радуемся, что связь начинает появляться и вы можете позвонить родным. Восстановление услуг будет происходить постепенно, поэтому еще возможны кратковременные сложности», - говорится в сообщении компании. В случае затруднений в «Киевстаре» советуют абонентам перезагрузить телефоны и отключить услугу VoLTE в настройках. «В настоящее время мы работаем над восстановлением передачи данных и SMS и надеемся, что они будут доступны в течение ближайших суток. После полного восстановления сети мы обещаем подготовить компенсации всем абонентам и корпоративным клиентам, которые не могли воспользоваться сервисами компании», - добавили в компании.

«Цифровой инфраструктуре «Киевстара» были нанесены критические поражения, поэтому восстановление всех услуг с соблюдением необходимых протоколов безопасности требует времени», - пояснили в свою очередь в Службе безопасности (СБУ), специалисты которой помогают оператору с преодолением последствий сбоя. В «Киевстаре» отметили, что при атаке утечки персональных данных клиентов не произошло, поскольку «системы, в которых эти данные хранятся – не пострадали от хакерской атаки». Там также опровергли информацию об «уничтожении компьютеров и серверов», о которых давеча заявила хакерская группа «Солнцепек», которая говорит, что совершила атаку на «Киевстар». К «Солнцепеку» еще  вернемся несколько позже.

Читайте также: В «Киевстаре» заявили, что почти восстановили связь

Весьма и весьма примечательно, что миллионы абонентов «Киевстара», аккурат после того как оператора «положили», не могли перейти на сервисы других операторов в системе внутреннего роуминга, специально созданного для того, чтобы один оператор мог прийти на помощь другому в случае проблем. Впоследствии выяснилось, что доступ к национальному роумингу перекрыли в Госспецсвязи - чтобы предотвратить перегрузку сетей других операторов, ведь харкерская атака на «Киевстар», имеющем более 24 млн абонентов мобильной связи и более 1 млн пользователей фиксированного интернета, была чрезвычайно мощным.

Из-за киевстаровского сбоя, некоторые магазины не могли принимать оплату покупателей через платежные терминалы, у крупных банков появились проблемы с банкоматами, а в правительстве Шмыгаля сообщили о проблемах в работе некоторых охранных систем и горячих линий.

Нынешняя атака на «Киевстар», помимо всего прочего, в который раз привлекла внимание медиа и общества к ее владельцам. Компания, напомним, на 100% принадлежит зарегистрированной в Нидерландах коммуникационной компании Veon, а в ней около 48% акций принадлежит LetterOne Holdings, в котором почти 38% у Михаила Фридмана, подсанкционного российского бизнесмена, который недавно вернулся в Москву и вполне комфортно там себя чувствует. Сам по себе этот факт наталкивает на мысли о том, что господин Фридман плотно сотрудничает с Кремлем и его силовым детищем в лице ФСБ. Однако, как уверяют в «Киевстаре», он и его партнеры никак не влияют на деятельность компании в Украине, а у VEON так же есть тысячи других акционеров - как в США, так и в Европе. Примечательно, что и у второго крупнейшего мобильного оператора в Украине компании Vodafone в истории деятельности есть связь со страной-агрессором. Так, с 2003-го по октябрь 2019 года компания принадлежала российской МТС – крупнейшему оператору в России и СНГ, но в Украине работала под тремя брендами – от UMC до МТС и Vodafone.

К слову, в период между аннексией Крыма и началом полномасштабного вторжения украинские аналитики не единожды обращали внимание, что присутствие российского бизнеса в Украине больше всего распространено в телекоммуникационной, банковской и энергетической сфере. Очевидно, что, мягко говоря, казус с «Киевстаром» должен вывести этот кейс на уровень нацбезопасности. Впрочем, пока что ни ставка главнокомандующего, ни Совбез по этому поводу не собирались.

Тем временем упомянутая ранее хакерская группировка «Солнцепек» заявила, что атаковала «Киевстар», поскольку «компания обеспечивает связь ВСУ, а также государственные органы и силовые структуры Украины». Росхакеры также пригрозили кибератаками другим компаниям, помогающим украинской армии.

12 декабря в СБУ как одну из версий атаки назвали российский след. В «конторе» открыли производство сразу по восьми статьям Уголовного кодекса Украины, в частности, несанкционированное вмешательство в работу информационных систем, государственная измена, диверсия и ведение агрессивной войны. В среду, 13 декабря в ведомстве Малюка уточнили свою позицию. «Ответственность за атаку уже взяла на себя одна из российских псевдохакерских группировок. Она является хакерским подразделением главного управления генштаба вооруженных сил РФ (более известного как ГРУ), которое таким образом публично легализует результаты своей преступной деятельности», - говорится в заявлении СБУ. По неофициальной информации, в данном случае речь идет именно о «Солнцепеке». «СБУ продолжает документировать кибератаку РФ по гражданской инфраструктуре Украины как очередное военное преступление россиян», - резюмировали в Службе безопасности.

В экспертных кругах допускают, что «Киевстар» может быть не первым объектом нападения «солнцепековцев», которые еще весной активно публиковали информацию в своих соцсетях о нанесении ущерба разным украинским структурам, среди которых -сайты нескольких телеканалов, министерство инфраструктуры и Южный горно-обогатительный комбинат. Специализированное IT-издание DEV.UA в унисон с СБУ сообщает, что «Солнцепек» может курировать Главное разведывательное управление России. Деятельность группировки также связывается с поддерживаемой путинской Администрацией хакерской группой Sandworm, указывает издание со ссылкой на свои источники в Госспецсвязи. «Sandworm» - это элитное подразделение российских хакеров, работающее на Кремль. Именно оно распространяло вирус NotPetya, уничтожавший данные на компьютерах коммерческих и правительственных структур во всем мире, нанося лишь одной диверсией убытки в 10 млрд долларов», - отмечает DEV. UA и добавляет, что Sandworm напрямую подчиняется ГРУ РФ.

Эксперт рынка телекоммуникаций Роман Химич в эфире «Суспільного» давеча отметил, что DDoS-атаки проходят все время и «наших операторов фактически каждый день пытаются сломать». «Это превратилось в нормальный фон. В случае с «Киевстаром» атаку, к сожалению, не удалось отбить. Таким образом, произошла очень масштабная и успешная атака на самую большую сеть мобильной связи. Кроме того, «Киевстар» поддерживает одну из самых больших сетей фиксированной связи и предоставляет ряд цифровых услуг для частных и государственных учреждений. То есть, «Киевстар» является одним из ведущих игроков на этом поле. Его нокаутировали, и он сейчас до сих пор полностью не пришел в сознание. И как долго это продлится – неизвестно из-за чрезвычайно большого объема нанесенного ущерба. Нанесен столь масштабный ущерб, что невозможно просто программным способом взять и более или менее быстро восстановить предыдущие копии программного обеспечения для «киевстаровских» серверов. Надо очень много работы делать руками, потому что сеть «Киевстар», как любого мобильного оператора, это большой территориально распределенный объект. Есть несколько сотен ключевых объектов, разбросанных по всей стране, и на каждом из них нужно руками что-нибудь сделать. Но ни у одного украинского оператора нет такого количества персонала, ресурсы ограничены. Потому так долго все восстанавливается», - подытожил Роман Химич.

В свою очередь бывший глава «Киевстара» Петр Чернышев заявил, что вледствие кибер-атаки было повреждено порядка 30% виртуальной сети оператора. «Поражен самый глубокий софт, внутренние системы. Компания начала восстанавливать сеть с нуля, опасаясь, что в оставшихся 70% могут быть какие-то «закладки» от хакеров. Частично остатки старого софта будут использованы для внутреннего расследования действий хакеров». По словам Чернышева, именно из-за того, что был поражен «глубокий софт», невозможно подключать клиентов «Киевстара» к национальному роумингу. «Он был рассчитан на более простые ситуации, когда, к примеру, из-за прилета повреждается вышка кого-то из операторов, и его клиентов подхватывают остальные. Но операторы подсоединяются к роумингу именно через софт, и если он «лежит», то переключить клиентов на другие сети уже не получится», - пояснил экс-руководитель «Киевстара».

По другим операторам, покупать карточки которых ринулись клиенты «Киевстара», то, по словам Чернышева, их сети могут выдержать увеличение абонентской базы не более чем на 10%, а потом начнут «глючить». К примеру, если у «Водафона» порядка 20 млн абонентов, то он может сразу подключить еще максимум 2 млн. Если больше - начнутся большие проблемы. Поэтому подхватить 24 млн абонентов «Киевстара» никто не сможет без риска положить все сети. Таким образом, иного выхода, кроме как дожидаться полного восстановления работы «Киевстара», нет.  К слову, Петр Чернышев считает, что атака на «Киевстар» оказалась успешной, так как «кибер-секьюрити, команда которых в компании очень сильна, просто расслабились». «Ничем другим я объяснить это не могу», - подытожил бывший руководитель «Киевстара». А вот действующий президент компании Александр Комаров в эфире телемарафона отметил следующее: «Нужно признать, что эта атака пробила нашу защиту. Это произошло, поскольку была скомпрометирована учетная запись кого-то из сотрудников, и враг смог попасть внутрь инфраструктуры компании».  Комаров обратил внимание на то, что вопрос не в технологиях, а в том, что в любой организации могут быть люди, «условно наводящие российские ракеты или отдающие свои пароли, потому что хорошо работают социальные инженеры».

Тем временем рядовые специалисты «Киевстара» off the records сообщают, что полное восстановление мобильной сети может занять до недели. По их словам, хакеры «убили» не только Кору - главный пункт управления всей сетью оператора, но и удалили конфигурации на транзитных базовых станциях (главные узлы, от каждого из которых работают несколько ретрансляционных станций). К примеру, в Киевской области находится ориентировочно 1500 базовых станций, из них 150-200 - это транзитные. Если придется их переключать вручную, а не дистанционно, то это может занять немало времени.

Весьма примечательно, что инцидент с «Киевстаром» произошел на фоне участившихся слухов о национализации данной компании. Не далее как в ноябре в Совет директоров «Киевстара» вошел Майк Помпео, бывший госсекретарь США и директор ЦРУ. Это решение некоторые эксперты расценили как попытку компании лишний раз отметить свое отграничение от российских владельцев. «Единственным фактическим бенефициаром экономической деятельности компании сейчас является Украина. Все деньги, налоги, инвестиции остаются здесь», - уверял гендиректор Александр Комаров в одном из своих недавних интервью. Впрочем, «Киевстар» - не единственная украинская компания, из-за которой в стране вспоминают росолигарха Фридмана. В конце мая этого года Верховная Рада приняла закон, разрешивший национализировать Sense Bank (бывший «Альфа-Банк Украина»), и в июле решением правительства он отошел государству. И от этого его не спасли ребрендинг и значительная доля в украинской банковской системе. Еще один бывший актив Фридмана в Украине - завод минеральных вод «Оскар», производящий продукцию под брендом «Моршинская». В начале осени решением суда корпоративные права предприятия были переданы в управление в Агентство по розыску и менеджменту активов (АРМА). В отечественных бизнес-кругах, между тем говорят об этой передаче как о противоречивом шаге, являющемся таким себе «приветом» всем крупным предпринимателям - не только и не столько российским. 

Читайте также: «Киевстар» восстановил связь по всей Украине